أعادت موجة من الهجمات السيبرانية النشطة استهدفت منتج SolarWinds Web Help Desk (WHD) تسليط الضوء على المخاطر الجسيمة المرتبطة بالخدمات المكشوفة على شبكة الإنترنت. وكشفت التحقيقات التي أجراها فريق أبحاث Microsoft بالتعاون مع شركة Huntress عن سلاسل استغلال متعددة المراحل، تبدأ من اختراق أولي لهذه الخدمة وتتطور لتصل إلى أعماق الشبكات الداخلية، مع احتمالية عالية للسيطرة على بيئة Active Directory في حال غياب إجراءات العزل الكافية.
وتشير البيانات الزمنية إلى أن هذا النشاط الهجومي لم يكن حادثاً عارضاً؛ إذ رصدت Microsoft عمليات اختراق خلال شهر ديسمبر 2025، بينما وثقت Huntress في السابع من فبراير 2026 حادثة استغلال مماثلة استهدفت عدة عملاء، حيث سعى المهاجمون من خلالها إلى نشر أدوات إدارة شرعية لإنشاء قنوات وصول دائمة داخل الأنظمة المتضررة.
تعقيدات تقنية وتعدد احتمالات الاختراق
تؤكد التقارير الفنية صعوبة الجزم بثغرة واحدة مسؤولة عن الاختراقات؛ نظراً لأن الأنظمة المستهدفة كانت تفتقر للتحديثات، ما جعلها عرضة لاستغلال عدة ثغرات في آن واحد. وتبرز في هذا السياق 3 ثغرات أساسية:
- الثغرة CVE-2025-40551 ذات الخطورة القصوى (9.8)، التي تسمح بتنفيذ أوامر عن بُعد دون مصادقة عبر إزالة تسلسل البيانات.
- الثغرة CVE-2025-40536 التي تمنح وصولاً غير مصرح به لوظائف مقيدة.
- الثغرة CVE-2025-26399 المرتبطة بمسار AjaxProxy والتي شهدت محاولات تجاوز لتصحيحات سابقة.
آليات الهجوم والتحول من الاختراق إلى السيطرة
وفقاً لما نشرته Microsoft، يبدأ السيناريو الهجومي باستغلال مثيل WHD مكشوف لتشغيل PowerShell واستخدام خدمة BITS لتنزيل حمولات خبيثة. وعقب تثبيت موطئ القدم، يعمد المهاجمون إلى استخدام أدوات إدارة شرعية مثل ManageEngine للحصول على تحكم تفاعلي، ثم ينتقلون إلى مرحلة الاستطلاع الداخلي لتحديد الحسابات الحساسة مثل Domain Admins.
وفي تطور تقني لافت، رصدت التحقيقات لجوء المهاجمين إلى أساليب تمويه متقدمة، شملت إنشاء مهام مجدولة لتشغيل آلات افتراضية باستخدام QEMU بصلاحيات SYSTEM عند إقلاع النظام، ما يتيح إخفاء النشاط العدائي وتمرير المنافذ عبر Port Forwarding. كما سجلت التقارير استخدام أدوات مثل Zoho Meetings وCloudflare tunnels لضمان استمرارية الوصول بأقل ضجيج ممكن، إضافة إلى توظيف أداة التحقيقات الرقمية Velociraptor كقناة للقيادة والتحكم.
استجابة عملياتية وتوصيات أمنية عاجلة
أدى إدراج وكالة CISA للثغرة CVE-2025-40551 ضمن قائمة الثغرات المستغلة المعروفة (KEV) إلى رفع درجة التأهب المؤسسي، محولاً الخطر من إطار التوقعات التقنية إلى تهديد تشغيلي يستوجب معالجة فورية. وتتطلب مواجهة هذا التهديد استجابة شاملة تبدأ بتحديث SolarWinds Web Help Desk إلى الإصدارات الأخيرة المصححة، مع ضرورة تقليص تعريض واجهات الإدارة للإنترنت وحصرها خلف شبكات VPN أو بوابات وصول موثوقة، وتفعيل ضوابط جدران حماية تطبيقات الويب (WAF).
وعلى صعيد المراجعة الجنائية، يشدد الخبراء على ضرورة التدقيق في وجود أي مكونات غير مبررة لأدوات ManageEngine أو Zoho، ومراقبة أنشطة PowerShell وBITS والمهام المجدولة غير المعتادة. كما ينصح بتدوير كلمات المرور والبيانات الاعتمادية لحسابات الخدمة والإدارة فور الاشتباه في أي حركة جانبية داخل الشبكة، لضمان قطع الطريق أمام محاولات الوصول إلى النطاق المؤسسي الشامل.
